2018-01-17 07:43:08

ALMA Communicator als DNS-Tunneling-Trojaner missbraucht

Das Anti-Malwareteam von Palo Alto Networks, Unit 42, beobachtet seit längerem die Hackergruppe OilRig. Eine Technik, die dabei detailliert analysiert wurde, ist die Verwendung eines Köderdokuments zur Malwareauslieferung namens "Clayslide". Nun hat Unit 42 eine neue Version des Clayslide-Dokuments identifiziert. Diese dient zur Installation eines neuen benutzerdefinierten Trojaners, genannt "ALMA Communicator".

Mathias Hein

Das Übermittlungsdokument enthält auch das „Mimikatz“-Tool, das zum Erfassen von Zugangsdaten verwendet wird. Die Forscher von Palo Alto Networks gehen davon aus, dass die Bedrohungsakteure vorhaben, Kontodaten aus dem kompromittierten System zu sammeln. Es steht zwar keine detaillierte Telemetrie zur Verfügung, aber das Forschungsteam geht davon aus, dass es sich zuletzt um einen gezielten Angriff auf ein Versorgungsunternehmen handelte.

Der neueste Build von Clayslide funktioniert auf ähnliche Weise wie seine Vorgänger. So wird zunächst ein „inkompatibles“ Arbeitsblatt angezeigt wird, das angibt, dass die Excel-Datei mit einer neueren Version von Excel erstellt wurde und der Benutzer „Inhalte aktivieren“ muss. Wenn der Benutzer dies anklickt, werden ein schädliches Makro und später ein VBScript ausgeführt, das die schädliche Inhalte für diesen Angriff installiert. Der Trojaner verwendet offensichtlich die Command-and-Control (C2)-Domain prosalar[.]com, um mit dem Bedrohungsakteur zu kommunizieren. 

ALMA Communicator ist ein Backdoor-Trojaner, der ausschließlich DNS-Tunneling nutzt, um Befehle vom Gegner zu erhalten und Daten zu exfiltrieren. Dieser Trojaner liest eine Konfiguration aus der cfg-Datei ein, die ursprünglich vom Clayslide-Übermittlungsdokument erstellt wurde. Da ALMA keine interne Konfiguration hat, funktioniert der Trojaner nicht ohne diese cfg-Datei. Nach dem Einlesen seiner Konfiguration erstellt der Trojaner zwei Ordner mit den Namen „Download“ und „Upload“. ALMA verwendet den Download-Ordner zum Speichern von Batch-Dateien, die vom C2-Server bereitgestellt werden und schließlich ausgeführt werden. Der Upload-Ordner dient dazu, den Output der ausgeführten Batchdateien zu speichern, die schließlich an den C2-Server übertragen werden. 

Bislang hatte die OilRig-Hackergruppe Mimikatz erst in der Post-Exploitation-Phase zum Sammeln von Zugangsdaten verwendet. Dies ist jedoch das erste Mal, dass Mimikatz bereits während der Auslieferungsphase des Angriffs ausgeliefert wird. Die Forscher erklären sich dies damit, dass der C2-Kanal von ALMA Communicator bei der Datenübertragung eingeschränkt ist. Wenn ein Hacker versuchen würde, damit große Dateien zu exfiltrieren, würde dies zu einer sehr großen Anzahl von ausgehenden DNS-Anforderungen führen, da jede ausgehende Anforderung nur 10 Bytes gleichzeitig senden kann. Noch begrenzender ist die Datenübertragung vom C2-Server zum Trojaner, der pro DNS-Anfrage nur 4 Bytes senden kann, da jede IPv4-Adresse als Datenpaket behandelt wird. Dies wäre der Grund, warum das Clayslide-Lieferdokument das Mimikatz-Tool auf dem System gespeichert hat, anstatt dass der Akteur das Tool erst nach einer erfolgreichen Kompromittierung herunterladen muss. 

Die OilRig-Hackergruppe verwendet also weiterhin ihr Clayslide-Übermittlungsdokument in ihren Angriffskampagnen. Die aktuelle Variante von Clayslide legt auch nahe, dass diese Gruppe diese Dokumente weiterentwickelt und neue Installationstechniken nutzt, um einer Erkennung zu entgehen. Diese Bedrohungsgruppe fügt ihrem Tool-Set auch weiterhin neue Inhalte hinzu, wobei ALMA Communicator die neueste Erweiterung ist. Zudem scheint es so, dass OilRig immer noch DNS-Tunneling für seinen C2-Kanal bevorzugt, da ALMA Communicator, Helminth und ISMAgent diese Technik für die C2-Kommunikation nutzen.

Druckversion